Plataforma
nodejs
Componente
electron-packager
Corregido en
7.0.0
La vulnerabilidad CVE-2016-10534 afecta a versiones de electron-packager anteriores a la 7.0.0. Esta falla permite un ataque de Man-in-the-Middle (MITM) durante el proceso de instalación, comprometiendo la integridad de las descargas de Electron. La vulnerabilidad se manifiesta porque, por defecto, electron-packager desactiva la verificación de certificados SSL. Se recomienda actualizar a la versión 7.0.0 para solucionar este problema.
Un atacante con acceso privilegiado a la red puede aprovechar esta vulnerabilidad para lanzar un ataque MITM. El atacante interceptaría la descarga de Electron, un componente esencial para la creación de aplicaciones Electron, y la reemplazaría con una versión maliciosa. Esto podría resultar en la instalación de software comprometido en el sistema de la víctima, permitiendo al atacante ejecutar código arbitrario o robar información sensible. El impacto se amplifica si el atacante puede controlar el servidor desde el cual se descarga Electron, ya que podría distribuir una versión modificada a múltiples usuarios.
Esta vulnerabilidad fue publicada en 2019, pero no se han reportado casos de explotación activa a gran escala. No se encuentra en el catálogo KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de un atacante con acceso privilegiado a la red y la relativa complejidad del ataque. Existen pruebas de concepto (PoCs) disponibles públicamente que demuestran la viabilidad del ataque.
Developers and organizations using electron-packager to build and distribute Electron-based applications are at risk, particularly those relying on the CLI and not explicitly configuring SSL verification within their node.js API calls. Shared hosting environments where users have limited control over the build process are also at increased risk.
• nodejs / supply-chain:
Get-Process -Name electron-packager | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path "C:\Program Files\electron-packager\*" -Recurse -Filter "*.exe"• generic web:
curl -I https://example.com/electron-download.exe | grep -i ssldiscovery
disclosure
patch
Estado del Exploit
EPSS
0.16% (36% percentil)
La mitigación principal para CVE-2016-10534 es actualizar electron-packager a la versión 7.0.0 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como el uso de una red privada virtual (VPN) para cifrar el tráfico de red durante la instalación. Además, se puede considerar la verificación manual de la integridad de los archivos descargados después de la instalación, utilizando sumas de comprobación (checksums) para asegurar que no hayan sido alterados. Verifique que la actualización se haya completado correctamente ejecutando npm list electron-packager y confirmando la versión instalada.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2016-10534 is a vulnerability in electron-packager versions before 7.0.0 that allows attackers to perform MITM attacks during Electron downloads, potentially replacing them with malicious files.
You are affected if you are using electron-packager versions prior to 7.0.0 and are using the CLI, as the default SSL verification is disabled.
Upgrade electron-packager to version 7.0.0 or later to resolve the vulnerability. Consider WAF/proxy rules if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are publicly known, the potential for MITM attacks makes it a significant risk.
Refer to the electron-packager documentation and related security advisories for more information: https://github.com/electron-userland/electron-packager/issues/602
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.